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应 用 动态 安全 模型 构建 信息 安全 管理 体系 


摘 要 : 在 实施 信息 化 建设 的 同时 ， 信 息 安全 的 相关 工作 也 在 稳步 推进 。 近 年 来 ， 国 内 外 都 在 研究 如 何 使 用 安全 框架 和 分 析 
设计 模型 ， 提 高 信息 安全 技术 和 管理 方法 的 最 大 效能 。 由 此 ， 本 文 将 从 信息 安全 管理 和 实现 具体 安全 目标 的 角度 出 发 ， 对 动 
态 安全 模型 进行 分 析 解 读 ， 对 如 何 构建 信息 安全 管理 体系 进行 了 梳理 和 分 析 ， 提 出 完善 和 改进 信息 安全 管理 体系 的 意见 和 建 


议 ， 以 开拓 一 种 建立 信息 系统 安全 服务 体系 的 新 思路 。 
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1. 传统 信息 安全 工作 中 面临 的 挑战 
1. 1 重 技术 、 轻 管理 

各 单位 对 信息 系统 的 安全 保护 主要 围绕 业务 和 技术 
两 个 方面 ,很 多 单位 普遍 认为 , 配备 一 定 的 技术 防护 手段 ， 
就 能 保障 系统 的 安全 。 但 对 配套 的 管理 规章 制度 缺乏 执 
行 力度 ， 使 信息 系统 管理 单位 在 安全 检查 、 查 漏 补缺 、 
系统 安全 水 平 测试 时 , 时 常 出 现 临 时 抱佛脚 “应 试 ”“ 应 
付 ” 的 现象 。 

1.2 缺乏 “改进 ”和 “服务 ”思维 

很 多 信息 系统 管理 人 员 仍 然 抱 着 信息 系统 的 安全 防 
护 ，“ 不 出 问题 ” 即 可 的 思维 。 但 在 信息 安全 环境 日 益 
紧迫 的 情况 下 , 信息 安全 工作 不 能 等 出 了 问题 才 去 重视 ， 
还 应 成 为 信息 系统 的 发 展 和 创新 方向 。 信 息 安全 工作 应 
该 是 一 个 动态 的 持续 改进 过 程 ， 应 以 动态 和 改进 的 “ 促 
进 服务 ”思维 方式 开展 信息 安全 工作 。 

1. 3 信息 安全 制度 未 形成 体系 

各 类 信息 安全 工作 ， 关 键 要 素 是 人 。 许 多 信息 安全 
管理 单位 对 安全 知识 的 宣传 和 培训 不 足 ， 人 员 的 信息 安 
全 防范 意识 较 差 。 

此 外 ， 很 多 单位 缺乏 相应 的 安全 方针 ， 制 定 的 管理 
制度 未 能 成 为 体系 。 流 程 化 、 规 范 化 的 安全 管理 制度 缺失 ， 
不 能 在 日 常 的 工作 中 严格 执行 ， 给 信息 安全 工作 带 来 了 
很 多 挑战 。 

1.4 责任 管理 不 到 位 

许多 单位 将 安全 管理 员 的 职责 分 散 到 一 线 的 技术 运 
维 人 员 喘 上 ， 并 未 设置 专职 的 安全 管理 员 岗 位 。 而 普通 
的 系统 管理 员 在 进行 安全 工作 时 ， 一 方面 更 关注 设备 和 
系统 的 运行 情况 ， 男 一 方面 很 难 客观 地 从 信息 安全 的 角 
度 出 发 ， 评 估 系 统 的 安全 性 ， 准 确 落 实 信息 安全 的 规章 
制度 。 

此 外 ， 随 着 信息 化 程度 的 提高 ， 设 备 不 断 增 加 ， 运 
维 服务 等 方面 的 需求 也 在 不 断 增 加 ， 许 多 单位 开始 采用 
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服务 外 包 方 式 对 系统 进行 管理 。 而 外 包 服 务 方 的 安全 水 
平 参差 不 齐 ， 往 往 未 采取 有 效 的 安全 措施 。 
1.5 系统 建设 中 对 安全 性 重视 不 足 

系统 建设 单位 往往 对 功能 性 投入 较 大 ， 却 对 系统 的 
安全 性 重视 不 足 ， 这 给 后 期 的 运 维 管理 之 来 了 较 大 的 安 
全 隐患 。 在 技术 系统 运 维 、 管 理 和 规章 制度 的 建设 方面 ， 
言 息 安 全 “ 缺 位 ” 较 多 ， 在 信息 业务 和 信息 安全 发 生 冲 
突 时 ， 信 息 安 全 往往 要 让 步 于 业务 。 
2. 利用 动态 安全 模型 建立 信息 安全 体系 

要 解决 现 有 信息 安全 管理 工作 中 存在 的 问题 ， 构 建 
符合 信息 安全 相关 规定 ， 适 应 业务 发 展 的 安全 体系 ， 首 
先 必须 转变 思维 , 将 信息 安全 工作 从 “严防 死守 ” 变 为 “ 积 
极 主动 ”的 动态 思维 。 为 此 ， 可 参照 安全 评价 分 析 模 型 ， 
应 用 管理 分 析 方 法 和 工具 进行 分 析 ， 构 建 符合 信息 安全 
的 评价 分 析 体系 ， 从 而 客观 地 描述 在 信息 安全 工作 中 所 
面临 的 问题 、 解 决 方式 和 完善 的 环节 。 
2.1 基于 P2DR2 动态 安全 模型 的 信息 安全 管理 框架 

在 信息 安全 管理 中 ， 人 员 组 织 、 安 全 技术 及 运行 操 
作 是 三 个 主要 的 支撑 体系 ，P2DR2 动态 安全 模型 的 核心 
思想 就 是 通过 对 这 三 个 体系 进行 构建 和 管理 ， 综 合 利用 
技术 和 管理 手段 ， 构 建 完 整 的 信息 安全 管理 框架 。 

在 信息 安全 管理 框架 的 构建 过 程 中 ， 需 首先 确立 整 
体 的 安全 策略 ， 运 用 各 类 型 手段 ， 了 解 和 评估 信息 系统 
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的 状态 , 采用 适当 的 响应 和 恢复 ,降低 系统 的 安全 风险 ， 
减轻 因 安全 事件 所 产生 的 风险 。 
2.1.1“ 防 护 ”环节 

确保 网 络 层面 的 结构 安全 、 访 问 控 制 、 边 界 完 整 性 
检查 、 恶 意 代 码 和 入 侵 防范 、 网 络 设备 防护 。 

在 主机 层面 进行 人 侵 防护 、 恶 意 代码 防护 .身份 鉴别 、 
系统 访问 控制 、 系 统 资源 控制 、 数 据 保护 、 安 全 特征 标记 、 
网 络 可 信 路 径 等 安全 防护 工作 。 

应 用 层面 包括 身份 鉴别 、 访 问 控制 、 通 信 完 整 性 、 
软件 容错 .通信 保密 性 .资源 控制 .剩余 信息 保护 、 抗 抵赖 、 
安全 标记 、 可 信 路 径 。 

数据 层面 包括 数据 完整 性 和 数据 保密 性 。 可 以 使 用 
多 功能 防火 墙 、 网 络 交 换 和 路 由 设备 、 入 侵 检 测 系统 、 
数据 网 关 、 补 丁 加 固 系统 、 防 病毒 系统 、 操 作 系 统 加 固 
设备 、 数 据 库 加 固 设 备 等 各 种 技术 工具 和 方法 ， 并 以 安 
全 的 配置 作为 必要 的 补充 。 

2.1.2“ 监 测 ” 环 节 

为 保证 信息 系统 免 受 安全 事件 的 入 侵 和 破坏 ， 可 以 
采用 入 侵 检测 、 漏 洞 扫描 、 安 全 审计 、 防 病毒 网 关 、 安 
全 管理 中 心 监 控 等 手段 。 

2.1.3“ 响 应 ”环节 

安全 响应 的 内 容 可 分 为 网 络 和 系统 安全 管理 、 处 理 
协调 和 配合 机 制 、 安 全 事件 的 具体 处 置 、 应 急 响 应 预案 
的 修订 和 演练 等 多 项 措施 ， 可 通过 使 用 安全 审计 系统 、 
网 络 运 维 管理 系统 ， 结 合 专业 的 技术 支持 服务 和 应 急 响 
应 服务 等 来 实现 。 

2.1.4“ 恢 复 ” 环 节 

在 恢复 环节 ， 需 要 针对 系统 和 数据 进行 备份 和 恢复 
的 元 余 设 计 ， 以 保证 信息 系统 可 以 及 时 恢复 运行 。 

2. 2 利用 管理 系统 性 方法 进行 安全 情况 评估 

利用 P2DR2 模型 构建 出 适当 的 信息 安全 管理 框架 后 ， 
可 利用 管理 系统 性 方法 (ISMS ) 进行 安全 情况 评估 。 评 
佑 工作 以 风险 信息 为 基础 ， 将 信息 安全 工作 分 为 建立 、 
实施 、 运 行 、 监 视 、 评 审 、 保 持 和 改进 等 若干 阶段 。 

在 评估 工作 中 ， 主 要 的 工作 原则 包括 : 
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的 规章 制度 和 管理 框架 。 同 时 , 建立 相应 的 风险 评价 机 制 ， 
提高 信息 安全 管理 的 主动 性 。 

(2 ) 科学 分 析 信 息 安全 管理 框架 中 的 各 项 内 容 ， 综 
合 、 全 面 地 考虑 各 环节 可 能 出 现 的 问题 。 

(3 ) 归档 管理 各 类 日 志文 件 和 流程 化 信息 。 

(4) 信息 安全 的 各 类 信息 得 到 有 效 反馈 。 
2. 3 使 用 PDCA 方法 建立 信息 安全 管理 体系 

在 完成 了 信息 安全 管理 框架 的 建立 和 安全 情况 评估 
工作 后 , 可 以 按照 "规划 (Plan )- 实 施 ( Do )- 检查 ( Check ) 
-改进 (Acet ) ”的 PDCA 模型 ,构建 信息 安全 管理 体系 。 


P-Plan 策划 D-Do 实施 A-Act 改进 /处 置 


C-Check 检查 


批准 和 发 布 ISMS 文 件 


日 常 束 祝 和 检查 
一 一 


制定 纠正 和 预防 措施 


每 个 阶段 的 工作 内 容 为 : 
2.3.1P (策划 ) 

@ 确定 信息 安全 体系 的 范围 和 方针 

信息 安全 管理 体系 应 覆盖 信息 安全 工作 中 的 各 个 阶 
役 ， 明 确 界 定 其 作用 范围 ， 制 定 与 信息 安全 环境 相关 的 
安全 方针 ， 对 信息 资产 进行 管理 、 保 护 和 分 配 。 

@ 定义 进行 风险 评估 的 方法 

在 进行 风险 评估 的 过 程 中 , 要 选择 适当 的 评估 方法 ， 
并 确定 等 级 准则 。 一 方面 ， 制 定 风 险 评估 文件 ， 解 释 所 
采用 的 方法 、 技 术 和 工具 ， 以 及 应 用 的 业务 环境 。 男 一 
方面 , 对 作用 范围 内 的 各 类 资产 和 薄弱 点 进行 准确 估算 ， 
评估 出 现 安全 事故 时 可 能 造成 的 影响 。 

@ 对 风险 进行 识别 ， 评 估 和 控制 

这 一 阶段 的 主要 任务 是 对 各 类 资产 的 薄弱 性 、 保 密 
性 、 完 整 性 和 可 用 性 缺失 时 , 所 造成 的 影响 进行 等 级 划分 ， 


(1 ) 要 覆盖 信息 安全 工作 的 各 个 环 入 ， 并 制定 相应 


第 一 步 | 制定 信息 安全 方针 方针 文档 一 ( 加 2 

第 二 步 | 定义 ISMS 范 围 | 一 ssmm- 一 w ( 和 . ) 
第 三 步 | 进行 风险 评 人 让 和 ES ) 
第 四 步 | 实施 风险 管理 | 一 一 文档 化 一 > ( 人 四 ) 
et 
第 六 步 | 准备 适用 声明 声明 文件 一 ( _ 文件 、 


从 而 正确 评估 风险 所 造成 的 损失 。 同 时 ， 还 要 选择 控制 
风险 的 方式 ， 以 实现 风险 的 控制 目标 ， 预 防 、 制 止 和 限 
制 风 险 ， 实 现 恢 复 控 制 。 

@ 统一 的 管理 规划 

在 信息 安全 管理 体系 建立 的 过 程 中 ， 需 要 有 统一 的 
规划 和 明确 的 任务 目标 ， 并 能 得 到 相应 的 管理 授权 ， 以 
便于 体系 建设 工作 的 正常 进行 。 
2.3.2D (实施 ) 

@ 信息 安全 管理 体系 的 建立 

在 这 一 过 程 中 ， 主 要 完成 的 是 进行 管理 流程 、 管 理 
规章 ， 管 理 策划 方面 的 具体 运作 。 通 过 对 风险 评 佑 、 风 险 
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识别 和 风险 控制 的 具体 分 析 ， 分 配 适 当 的 资源 ( 人员， 时 
间 和 资金 ) , 有 针对 性 地 对 各 类 风险 制定 相应 的 响应 措施 。 

@ 进行 管理 体系 的 推广 和 应 用 

在 信息 安全 管理 体系 的 推广 和 应 用 过 程 中 ， 应 落实 
各 项 规章 制度 ， 加 强 对 相关 人 员 的 安全 培训 ， 了 解 各 岗 
位 所 处 的 位 置 和 担负 的 责任 。 通 过 不 断 加 强 安全 意识 ， 
保证 各 方 均 能 按照 要 求 完 成 任务 。 

2.3.3 C (检查 ) 

检查 阶段 ， 是 PDCA 循环 过 程 中 的 关键 阶段 ， 是 分 
析 运 行 效果 、 寻 求 改 进 机 会 的 阶段 。 其 目的 是 及 时 纠正 
实施 过 程 中 不 合理 、 不 充分 或 难以 推进 的 措施 。 具 体内 
容 包 括 : 

检查 实施 过 程 中 的 错误 ; 能 否 使 各 项 信息 安全 管理 
工作 达到 预期 的 结果 ; 接受 第 三 方 的 安全 检查 。 

评估 信息 安全 管理 体系 的 有 效 性 ; 收集 各 类 相关 的 
建议 和 反馈 ， 定 期 对 管理 体系 进行 有 效 性 评审 。 

确定 可 风险 影响 范围 和 程度 ， 进 行 风险 控制 。 

对 照相 关 的 信息 安全 管理 体系 标准 ,评估 技术 和 管 
理工 作 是 否 适当 、 是 否 符合 标准 以 及 是 否 按照 预期 的 目 
的 进行 工作 。 根 据 需 要 对 内 容 进行 修订 。 

2.3.4 A (改进 ) 

在 改进 阶段 须 对 准备 实施 的 方案 给 出 结论 ， 判 断 信 
息 安 全 管理 体系 的 可 用 性 和 持续 性 ， 并 对 管理 体系 的 推 
广 和 颁布 做 出 计划 。 

2. 4 建立 信息 安全 管理 体系 时 需 注意 的 其 他 问题 
2.4.1 补充 PDCA 中 对 信息 安全 管理 体系 的 改进 环节 

纵 观 整个 通过 动态 安全 模型 建立 信息 安全 管理 体系 
的 技术 和 管理 等 各 方面 内 容 , 虽然 在 PDCA 方法 中 的 P( 策 
划 ) ，D(〈 实 施 ) ，C (检查 ) 环节 均 得 以 较 好 的 进行 。 
但 在 A (改进 ) 环节 可 能 缺乏 一 定 的 手段 和 具体 措施 ， 
不 利于 对 信息 安全 管理 体系 的 纠正 和 改进 。 

因此 ， 在 建立 新 型 安全 管理 体系 的 改进 环节 ， 还 需 
要 与 实际 的 运行 部 门 充分 进行 交流 ， 注 意 发 现 问题 ， 提 
出 解决 问题 的 方法 和 思路 ， 为 体系 的 改进 提供 基础 。 

此 外 ， 还 应 通过 试点 推广 、 调 查 反 馈 以 及 数据 统计 
等 各 种 手段 ， 获 得 管理 体系 实际 和 运行 效果 的 资料 ， 评 佑 
其 在 实际 工作 中 的 作用 。 针 对 实际 效率 不 高 ， 与 业务 工 
作 不 相符 合 以 致 难以 推进 的 内 容 ， 予 以 修订 或 去 除 。 
2.4.2 建立 多 元 化 的 信息 安全 联动 机 制 

在 信息 安全 管理 体系 的 建设 和 推进 过 程 中 ， 还 存在 
多 个 层面 、 多 个 系统 间 的 多 元 化 的 管理 协同 机 制 。 为 此 ， 
要 以 信息 安全 管理 体系 为 基础 ， 建 立 多 元 化 的 安全 联动 
机 制 。 主 要 包括 监测 通报 机 制 、 指 挥 协 调 机 制 、 信 息 反 
馈 机 制 、 应 急 处 理 机 制 等 。 针 对 各 类 型 的 突 发 事件 ， 还 
需 建立 详细 可 行 的 安全 事件 处 理 流 程 ， 按 照 统一 指挥 、 
统一 协调 、 统 一 接口 、 统 一 汇报 、 统 一 反馈 的 原则 进行 
处 理 ， 并 定期 进行 安全 应 急 演练 。 
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2.4.3 注重 专职 安全 人 员 培 养 机 制 

在 进行 信息 安全 管理 体系 建设 的 同时 ， 还 应 大 力 加 
强 对 专职 安全 人 员 的 培养 机 制 建设 。 

加 强 对 信息 安全 人 才 的 培养 。 除 一 线 的 技术 人 员 要 
掌握 各 种 安全 攻防 的 技术 ,具备 检测 和 防范 攻击 、 保 护 
和 恢复 系统 的 能 力 外 ， 安 全 管理 人 员 还 需 具备 系统 安全 
规划 、 风 险 分 析 、 应 急 响 应 、 安 全 审计 等 能 力 ， 从 机 构 
层面 制定 信息 安全 规划 ， 并 组 织 和 指挥 实施 。 

2.4.4 建立 评价 信息 安全 管理 体系 的 方法 

如 何 对 已 建立 的 信息 安全 管理 体系 进行 绩效 衡量 ， 
评价 体系 在 实际 载体 中 的 运行 效果 ， 是 在 信息 安全 管理 
体系 的 建设 和 推广 过 程 中 需要 考虑 的 问题 。 

(1 ) 能 和 否 满足 组 织 的 信息 安全 管理 需求 
建立 信息 安全 管理 体系 的 目的 是 要 理 顺 组 织 内 的 安 
全 管理 机 制 ， 有 效应 对 各 类 突 发 事件 ， 提 高 信息 安全 的 
管理 水 平 , 增强 对 各 类 信息 安全 风险 的 管控 能 力 。 因 此 ， 
可 对 照 信 息 安全 工作 中 的 实际 需求 ， 逐 条 进行 梳理 ， 并 
在 工作 中 进行 修正 ， 以 满足 管理 工作 的 现实 需要 。 

(2 ) 采用 综合 评价 的 衡量 指标 

由 于 信息 安全 管理 体系 的 建立 、 推 广 和 使 用 中 不 会 
产生 效益 ， 因 此 ， 可 以 根据 组 织 本 身 的 特点 ， 对 信息 安全 
管理 体系 中 的 各 个 环节 采用 综合 评价 的 方法 ， 客 观 地 对 信 
息 安 全 管理 体系 的 效果 进行 评价 。 例 如 ， 收 集 取 各 部 门 、 
管理 人 员 、 技 术 人 员 和 使 用 人 员 的 意见 ; 对比 季度 或 年 度 
的 信息 安全 管理 体系 运行 情况 和 统计 数据 在 运行 体系 后 ， 
安全 工作 的 效率 和 人 员工 作 量 的 对 比 情况 等 。 

(3 ) 建立 人 员 考 核 和 评价 体系 

人 员 安 全 素养 的 提高 与 信息 安全 管理 能 力 、 核 心 防 
护 能 力 、 预 防风 险 能 力 密切 相关 。 因 此 ， 可 定期 组 织 对 
人 员 的 素质 进行 检查 和 考核 , 综合 评价 安全 技术 的 运用 、 
管理 流程 的 掌控 以 及 协调 工作 的 处 理 等 内 容 ， 并 根据 考 
核 评价 情况 对 问题 进行 纠正 , 从 而 增强 组 织 的 运行 效率 ， 
提高 各 类 人 员 的 职业 技能 ， 推 动 组 织 的 良性 发 展 。 嘻 


1] 谢 宗 晓 .信息 安全 管理 体系 实施 指南 [M]. 北京 中 国标 
准 出 版 社 .2012. 

2] 张 泽 虹 ， 赵 冬 梅 . 信息 安全 管理 与 风险 评估 [M]. 北京 : 
电子 工业 出 版 社 .2010. 

3] 王 祯 学 ， 周 安民 ， 方 勇 等 . 信息 系统 安全 风险 估计 与 控制 
理论 [M]. 北京 : 科学 出 版 社 . 2011. 

[各 刘 晓 敏 ， 许 和 天 .信息 安全 管理 体系 的 定义 、 功 能 和 构建 方 

法 分 析 四. 北京 : 信息 通信 .2013 (1). 


( 作者 单位 : 新 华 社 通 技术 局 ) 


